Rançongiciel as a Service (RaaS), le nouveau virus de l’année 2021 ? Ce début d’année 2021 s’annonce marqué, non pas par une vague, mais par une déferlante de cyberattaques qui s’abattent sur de nombreuses organisations en France. Depuis ces dernières années, l’ANSSIL’agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est une organisation gouvernementale française.... More (Agence Nationale de la Sécurité des Systèmes d’Information) met en garde les entreprises et institutions contre la recrudescence des virus informatiques. Dans son rapport Menaces et incidents du CERT-FR, elle rapporte l’augmentation fulgurante de 255% des signalements d’attaques par rançongiciel en 2020 et met en lumière le Rançongiciel as a Service, le RaaS, tendance émergente sur le marché de la cybercriminalité. Qu’est-ce que le Rançongiciel as a Service ? Le Rançongiciel as a Service est l’un des modèles économiques inventé par les groupes cybercriminels qui consiste à proposer un accès à un rançongiciel sous la forme d’un abonnement ou d’un partenariat. Les « affiliés », nom donné aux cybercriminels qui y souscrivent, utilisent ce service pour : Mener des campagnes d’infection massives, caractérisées par des attaques non ciblées, peu sophistiquées et à faible coût.Mener des campagnes massives automatiquesMener des attaques furtives très ciblées contre une cible identifiée préalablement, choisie pour la criticité de ses données et/ou de sa continuité d’activité, et qui serait plus apte à payer des rançons de montant important. Quelques noms de RaaS : REvil, Ryuk, Maze, DoppelPaymer, Netwalker, Mespinoza ou encore Egregor. Rançongiciel as a Service : Une victimologie sectorielle ? Aucun secteur d’activité et aucune zone géographique n’est à l’abri de ces cryptovirus. Néanmoins, les collectivités locales et territoriales, l’éducation, les hôpitaux et autres établissements de santé et les entreprises de services numériques (ESN) font, de manière récurrente, l’objet d’attaques informatiques ciblées. Plusieurs raisons stratégiques peuvent expliquer ce ciblage : Le système d’information de ces organisations peut être mal sécurisé et source de vulnérabilités critiquesLa sensibilité des données stockées sur les bases de donnéesLa pression liée à la continuité d’activité et à la quasi-impossibilité d’interrompre l’activité pendant une longue périodePour les ESN, le rançongiciel peut, par extension, s’étendre et infecter les systèmes d’information de ses clients ou partenaires si l’ESN n’a pas cloisonné l’architecture de son SI. Des dommages parfois irréversibles ? Outre les pertes financières, qu’elles soient liées au paiement de la rançon demandée par le cybercriminel ou à la restauration du système d’information de l’entreprise, les cyberattaques de type rançongiciels portent atteinte aux organisations de bien des manières : perte d’exploitation, livraisons de projets retardées ou annulées, risques vitaux pour les patients, image de marque dégradée, pertes de clients/partenaires, fuites ou pertes de données. Lorsqu’une organisation, quelle qu’elle soit, quelle que soit sa taille, et quel que soit le type d’attaque informatique, se retrouve dans une situation d’incapacité critique, la dose intense de stress à laquelle sont confrontés les dirigeants, l’équipe IT mais aussi le reste de l’entreprise peut laisser des séquelles irréversibles : stress, anxiété, peur, honte et isolation. Comment anticiper les attaques et réagir en cas d’incident ? Aucune attaque informatique ciblée n’est évitable ; ici, tout est question de limiter le risque d’occurrence et la propagation de l’attaque. Les mesures qui suivent, issues du Guide d’hygiène informatique de l’ANSSI, permettront d’éviter qu’une attaque par rançongiciel atteigne l’organisation ou réduiront les pertes liées à une telle attaque : Sauvegarder ses donnéesMettre à jour les logiciels et systèmes d’exploitationUtiliser et effectuer régulièrement les mises à jour des antivirusCloisonner l’architecture de son SIDéfinir une politique de gestion des identités et habilitationsMaîtriser les accès Internet
Blog Recommandations de l’ANSSI relatives à l’administration sécurisée des systèmes d’information : quelles nouveautés dans cette 3ème version du PA-022 ?